关于CSP:
CSP策略使得Web前端更有序,从而更安全,这是一个好趋势,W3C已经在大力推进这样的策略:http://www.w3.org/TR/CSP/。Firefox与Chrome已经开始支持,IE 10也会开始支持。

今晚我们讨论这个时,sogl发起的这些讨论:
http://zone.wooyun.org/content/1310

CSP策略在《Web前端黑客技术揭秘》中最后一章的“迟到的CSP策略”小节有详细描述,这里不多说了,跨站师需要关注关注CSP的动态:)

你们认为呢?
Continue reading

非常好,基本上是在12月可以上市发行,书名敲定《Web前端黑客技术揭秘》,不过还是简称为“Web前端黑客”吧,提交出版社后,轻松了很多,2个序、4个书评都提交了(这些来自圈内各位大牛),后续时间就是让这本书诞生!

本书两个作者,我和heart,我主写近80%的内容,所以我这次有吐血的感觉,基本没保留地将自己这些年的经验与积累放出来了,不过实话是:保留是有的,因为有些根本是写不出来的……也许和我内心一种抵触有关系,因为我觉得:这仅是一本书而已。

这本书是国内第一本专注Web前端安全攻防类的书籍,基本不照顾初学者,然后对于那些有前端能力的人,稍微有些安全见识的,也是能上手的,我觉得搞前端搞到变态的人更应该,更应该换个口味,从真正黑客的视角去看看前端的安全问题。而那些还徘徊在弹个框的新生代力量更需要上一个大台阶。对于已经站在大台阶上的牛人们,也可以看看,会有很多灵感碰撞的。

这本书不会让大家失望,如果意犹未尽欢迎到时候联系我,比如微博@evilcos。

从这篇文章开始,我和另一位作者heart会在本书上市前不断八卦我们的内容,别急。

发现了,知识点各种杂碎,你从网络上东拼西凑的,而且还可能遇到各种错误的,然后没有足够的内功,很容易就迷失了。Web安全很简单吗?实际上很难,比如单说研究一个DOM,使出平生最大的劲,还只能说:我入门了。不同浏览器处理DOM的方式还存在差异,差异可能导致漏洞,很多问题一追根溯源,没完没了,这是因为真正的基础功没打牢。

这书挤啊挤,终于看到希望了,不是我不想快快写出来,实在是太忙了,去年在大连和刺还互相慰问了对方的书,他的出来了,羡慕一番,赶紧回头加把劲。我真的发誓以后不写技术书籍了,写书的使命感还是比较强的,所以对自己没写一笔的要求比较高,算是一种负责的表现。

待完全截稿那天,我会开始各种八卦,被压抑太久了:)

知道创宇研究部招揽更多白帽子加入了,可喜:),最近我在忙各种组建工作。大家很快能看到我们的一些成果。
书《Web前端黑客》由于最近超级忙,又耽误了半个月,不过还好heart还在继续:)
看到有朋友相关的书都陆续出来了,我还在路上,没办法。
EOF.

有些小感慨,已经走了这么远的路了,当年好多想法都还没来得及实现,发现现在回头去看06/07/08/09时的papers,更加透彻了。理解力真的与一个人所在的高度有关。大家都在进步,而有的人估计已经隐退,消息都没了。抱娃过幸福美好的生活去了吧:P。

并且发现08年时这本书的目录,和现在比起来,真的又是没法比。当时觉得积累有限,现在看看好像还是积累有限,但是,当你觉得积累够时,也是隐退的时候了,哪还会去写呢?该出手就出手吧,我是时间超级紧张的人,和我打交道多的人可以知道这一点。不过还好计划性比较好,耐心也足,估计是毕业4年一直创业给磨练出来的。

好了,整理一遍之后,发现头脑又清晰多了。进度虽然有些慢,但是在努力了。我狠狠的发誓这本技术型书籍搞定后,下一本要写就写小说!技术书籍太难搞!

漏洞公告在这:http://www.securityfocus.com/archive/1/521359/30/60/threaded
Trustwave发布的,自己官网也贴了个:https://www.trustwave.com/spiderlabs/advisories/TWSL2012-002.txt

看看最后官方的答复,认为可以忽略。Trustwave避轻就重,还赚了三个CVE,这些漏洞是有场景的:wp没安装过的情况下才可以。来一个个看下。
Continue reading

换了个默认主题,自己改了点样式。然后导航栏增加:
LAB – 会陆续分享一些在线的实验性工具。
PAPAER – 将以前可open的papers分享出来。
GITHUB – 将一些可开源的工具分享在github上,以后会陆续增加。

还有一些东西没想起来的,慢慢来了。
以后应该会更频繁更新evilcos.me,包括将我的一些观点写出来,比如一些资源(文章、工具等,不限安全领域)的点评。
有些东西啊,你藏着会烂掉,有ideas我只要有时间就会考虑实现,然后open出来。这个世界太多东西等着我们去探索了,一步一步走吧:P